Warenkorb

keine Produkte im Warenkorb

Sophos Firewall – ARP-Problem nach Firewall-Umstellung lösen

Beim Umstellen einer Firewall-Konfiguration kann es in seltenen Fällen vorkommen, dass einige Alias-IP-Adressen nicht mehr auf ICMP-Anfragen (Ping) reagieren, während andere Alias-Adressen weiterhin pingbar bleiben. Dieses Phänomen tritt besonders häufig auf, wenn sich durch die Umstellung die MAC-Adresse der Firewall ändert.

Eine typische Konfiguration in modernen Netzwerken umfasst mehrere Alias-IP-Adressen auf einem einzelnen WAN-Interface. Diese Alias-Adressen werden häufig verwendet, um verschiedene Dienste von einer einzigen physikalischen Schnittstelle aus zu verwalten. Bei einem Firewall-Wechsel, z. B. von einem anderen Hersteller zu einer Sophos Firewall oder auch beim Wechsel eines Hardwaremodells innerhalb des Sophos-Ökosystems, ändert sich oft die MAC-Adresse der externen Schnittstelle. Diese Änderung kann zu Problemen in der ARP-Tabelle (Address Resolution Protocol) von benachbarten Routern oder Switches führen, die die Alias-IP-Adressen den alten MAC-Adressen zuordnen und diese nicht automatisch aktualisieren.

Die Technik hinter dem Problem

Das ARP-Protokoll ist verantwortlich dafür, IP-Adressen in MAC-Adressen aufzulösen. Wenn ein Host eine IP-Adresse im Netzwerk kontaktieren möchte, sendet er eine ARP-Anfrage, um die zugehörige MAC-Adresse zu ermitteln. Der ARP-Cache speichert diese Zuordnungen temporär, um die Netzwerklast zu reduzieren und die Auflösung zu beschleunigen. Wenn jedoch die MAC-Adresse einer Firewall ändert, während die IP-Adresse gleich bleibt, kann es zu Konflikten kommen, da benachbarte Geräte möglicherweise immer noch versuchen, die IP-Adressen mit der alten MAC-Adresse zu verknüpfen.

In einer solchen Situation ist es möglich, dass einige IP-Adressen weiterhin pingbar sind, während andere nicht reagieren. Dies liegt daran, dass die ARP-Tabelle auf den Nachbargeräten die Zuordnung für bestimmte IP-Adressen korrekt aktualisiert hat, während sie für andere IP-Adressen noch veraltete Informationen enthält.

ARP-Ping zur Aktualisierung der ARP-Tabelle

Um dieses Problem zu beheben, kann man auf der Sophos Firewall einen spezifischen Befehl über SSH ausführen, der es ermöglicht, für jede Alias-IP-Adresse ein manuelles ARP-Ping durchzuführen. Dieser Befehl zwingt die Firewall, eine ARP-Anfrage von der betroffenen Alias-IP-Adresse zu initiieren, wodurch die ARP-Tabelle auf den Nachbargeräten aktualisiert wird.

system diagnostics utilities arp ping source <Alias-IP-address> interface <Interface-Name> <Destination-IP-address>

Angenommen, eine der nicht-pingbaren Alias-IP-Adressen ist 212.60.60.124 und sie ist auf dem Interface Port7.27 konfiguriert. Der Befehl, um die ARP-Tabelle für diese Adresse zu aktualisieren, lautet:

system diagnostics utilities arp ping source 212.60.60.120 interface Port7.27 212.60.60.124

Dieser Befehl sendet eine ARP-Anfrage von der Alias-IP-Adresse 212.60.60.124 über das Interface Port7.27 an sich selbst. Dies zwingt alle benachbarten Geräte, ihre ARP-Tabellen mit der korrekten MAC-Adresse für diese IP zu aktualisieren.

Schritt-für-Schritt-Anleitung zur Fehlerbehebung:

  1. Über SSH mit der Sophos Firewall verbinden:
    Zuerst wird eine SSH-Verbindung zur Firewall hergestellt. Dazu kann man ein Tool wie PuTTY oder die integrierte SSH-Konsole verwenden.
  2. Nicht-pingbare Alias-IP-Adressen identifizieren:
    Im nächsten Schritt wird überprüft, welche Alias-IP-Adressen auf der WAN-Schnittstelle nicht pingbar sind.
  3. ARP-Ping-Befehl ausführen:
    Für jede nicht-pingbare Alias-IP-Adresse wird der oben genannte ARP-Ping-Befehl ausgeführt. Dabei ist darauf zu achten, die spezifische Alias-IP-Adresse und das zugehörige Interface korrekt einzusetzen.
  4. Ergebnisse überprüfen:
    Nachdem der Befehl ausgeführt wurde, wird überprüft, ob die zuvor nicht-pingbaren Alias-IP-Adressen nun auf Ping-Anfragen reagieren.
  5. Netzwerkgeräte neu starten (falls erforderlich):
    In einigen Fällen kann es hilfreich sein, angrenzende Netzwerkgeräte wie Router oder Switches neu zu starten, um sicherzustellen, dass die ARP-Tabellen vollständig aktualisiert werden.